ce este OWASP?Proiectul Open Web Application Security Project (OWASP) este o organizație non-profit fondată în 2001, cu scopul de a ajuta proprietarii de site-uri web și experții în securitate să protejeze aplicațiile web împotriva atacurilor cibernetice. OWASP are 32.000 de voluntari în întreaga lume care efectuează evaluări și cercetări de securitate.,printre publicațiile cheie ale OWASP se numără OWASP Top 10, discutat mai detaliat mai jos; OWASP Software Assurance Maturity Model (SAMM), OWASP Development Guide, OWASP Testing Guide și OWASP Code Review Guide.

OWASP Top 10

OWASP Top 10 este un document acceptat pe scară largă, care prioritizează cele mai importante riscuri de securitate care afectează aplicațiile web., Deși există mai mult de zece riscuri de securitate, ideea din spatele OWASP Top 10 este de a face profesioniștii din domeniul securității conștienți de cel puțin cele mai critice riscuri de securitate și de a învăța cum să se apere împotriva lor.OWASP evaluează periodic tipuri importante de atacuri cibernetice după patru criterii: ușurința exploatării, prevalența, detectabilitatea și impactul în afaceri și selectează primele 10 atacuri. OWASP Top 10 a fost publicat pentru prima dată în 2003 și de atunci a fost actualizat în 2004, 2007, 2010, 2013 și 2017.,

pentru Înțelegerea și Prevenirea Comun OWASP Atacurile

mai Jos este informații furnizate de OWASP fundația pe cinci important aplicație web atacuri care de obicei rang în partea de sus jumătate a OWASP Top 10, cum se manifestă și cum vă puteți proteja organizația dumneavoastră împotriva lor. Exemple de cod sunt preluate din Ghidul OWASP Top 10.

Injection

o vulnerabilitate de injectare într-o aplicație web permite atacatorilor să trimită date ostile unui interpret, determinând compilarea și executarea acestor date pe server. O formă comună de injecție este injecția SQL.,3844d3c3″>

Exploatabilitate: Mare Prevalenta: Mediu Detectabilitate: Mare Impact: Mare

Exemple de Atacuri de Injectare

O aplicație utilizează date de încredere atunci când se construiește un vulnerabile SQL apel:

String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";

O aplicație de încredere într-un cadru fără dezinfectare intrările sale, în acest caz Hibernare Limbaj de Interogare (HQL):

Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'");

atacatorul modifică ‘id’ parametru în browser-ul lor pentru a trimite codul., De exemplu:

http://example.com/app/accountView?id=' or '1'='1

Acest lucru face ca interogările să returneze toate înregistrările din tabelul de conturi și pot fi utilizate pentru a efectua alte acțiuni rău intenționate pe server.

Prevenirea atacurilor de injecție

  • utilizați un API sigur care evită utilizarea interpretului în întregime
  • utilizați validare de intrare pozitivă sau „whitelist” din partea serverului
  • Escape caractere speciale
  • utilizați limita și alte controale SQL în cadrul interogărilor pentru a preveni dezvăluirea în masă a înregistrărilor în cazul injecției SQL.,entication

    O aplicație web cu rupt sau slab de autentificare pot fi ușor de detectat de către atacatori și este vulnerabil la forța brută/atacurilor de dicționar și de gestionare a sesiune atacurile

    Exploatabilitate: Mare Prevalenta: Mediu
    Detectabilitate: Mediu Impactului: Mare

    Exemple de Rupt de Autentificare Atacurile

    • Acreditare umplutura━atacatorii folosesc liste de parole cunoscute și încercați-le secvențial pentru a avea acces., Fără amenințare automată sau protecție de umplere a acreditărilor, aplicația este folosită de atacatori ca mecanism de validare pentru orice parolă pe care o încearcă.atacurile bazate pe parole aplicațiile web bazate pe parole bazate doar pe parole au mecanisme de autentificare inerent slabe, chiar dacă parolele au cerințe de complexitate și sunt rotite. Organizațiile ar trebui să treacă la autentificarea cu mai mulți factori.,

    atenuarea autentificării rupte

    • implementați autentificarea cu mai mulți factori
    • nu implementați sisteme cu acreditări implicite
    • verificați o listă cu cele mai grave 10.000 de parole
    • utilizați liniile directoare din NIST 800-63 B secțiunea 5.1.,1 pentru Memorat Secrete
    • se Intareasca toate autentificare legate de procese, cum ar fi de înregistrare și de acreditare de recuperare
    • Limită sau întârziere tentative eșuate de autentificare
    • Utilizați o sigure, built-in, pe partea de server session manager

    Date Sensibile de Expunere

    date Sensibile este de obicei cel mai valoros activ vizate de atacuri cibernetice. Atacatorii pot obține acces la acesta furând chei criptografice, efectuând atacuri „man in the middle” (MITM) sau furând date clare care pot fi stocate ocazional pe servere sau browsere ale utilizatorilor.,

    Exploatabilitate: Mediu Prevalenta: Mare
    Detectabilitate: Mediu Impact: Mare

    Exemple de Date Sensibile de Expunere

    • Nu TLS━dacă un site web nu utilizează SSL/TLS pentru toate paginile, un atacator poate monitoriza traficul, downgrade conexiuni de la HTTP și HTTPS pentru a fura cookie-ul de sesiune.
    • hashes nesărate baza de date parola unei aplicații web poate utiliza hashes nesărate sau simple pentru a stoca parole., Dacă un atacator obține acces la baza de date, acesta poate sparge cu ușurință hash-urile, de exemplu folosind GPU-uri și poate obține acces.

    atenuarea expunerii datelor sensibile

    • identificați datele sensibile și aplicați controale de securitate adecvate.
    • nu stocați date sensibile decât dacă este absolut necesar.
    • criptați toate datele sensibile în repaus folosind algoritmi, protocoale și chei puternice de criptare.
    • criptați datele în tranzit folosind protocoale sigure precum TLS și HTTP HSTS.
    • dezactivați cache-ul pentru date sensibile.,
    • stocați parolele folosind funcții hashing puternice, sărate, cum ar fi Argon2, scrypt și bcrypt.

    XML External Entities (XXE)

    dacă o aplicație web utilizează o componentă vulnerabilă care procesează XML, atacatorii pot încărca XML sau pot include conținut ostil, comenzi sau cod într-un document XML.,2ba97df6″>

    Un atacator poate obține informații despre o rețea privată prin schimbarea ENTITATE linie de:

    Atenuarea XXE Atacurile

    • Utilizare date mai simplă formate, cum ar fi JSON și pentru a evita serialization
    • Patch-uri sau upgrade toate procesoarele XML și biblioteci
    • Dezactivare XML entitate externă și DTD prelucrare
    • Implementarea whitelisting și igienizare de pe partea de server XML intrări
    • Validarea XML folosind XSD sau similare validare
    • Utilizarea SASTI ca instrumente pentru a detecta XXE în codul sursă, cu manual de revizuire dacă este posibil

    A5., Controlul accesului rupt înseamnă că atacatorii pot avea acces la conturile de utilizator și pot acționa ca utilizatori sau administratori și că utilizatorii obișnuiți pot obține funcții privilegiate neintenționate. Mecanismele puternice de acces asigură că fiecare rol are privilegii clare și izolate.,ld puternic acces de mecanisme de control și de a le reutiliza de peste aplicare

  • Aplica înregistra dreptul de proprietate━nu permite utilizatorilor să creeze, citi sau șterge orice înregistrare
  • Aplica de utilizare și limitele ratei
  • Dezactivare server directory listing și nu stoca metadate sau fișiere de rezervă în folderul rădăcină
  • Jurnal nu a reușit tentative de acces și de alertă administratori
  • Rata limită de API și controler de acces
  • Validarea JWT jetoane după logout

Alte OWASP Top 10 Atacuri

  • Securitate Greșeli━greșit controale de securitate sunt un punct comun de intrare pentru atacatori., De exemplu, o bază de date implementată cu o parolă de administrator implicită.
  • Cross-Site Scripting (XSS) atacatorii folosesc XSS pentru a exploata punctele slabe în gestionarea sesiunilor și pentru a executa cod rău intenționat în browserele utilizatorilor.
  • deserializare nesigură ✅ deserializarea este o tehnică complexă, dar dacă este executată corect, permite atacatorilor să execute cod rău intenționat pe un server.majoritatea aplicațiilor web se bazează foarte mult pe componente open-source, iar acestea pot include vulnerabilități cunoscute pe care atacatorii le pot exploata pentru a obține acces sau a provoca daune.,
  • logare insuficientă și monitorizare atacatorii se bazează pe lipsa de monitorizare și de răspuns în timp util pentru a reuși cu orice alt vector de atac.

vedeți cum Imperva Web Application Firewall vă poate ajuta cu OWASP Top 10 atacuri.

Imperva Application Security

Imperva lider în industrie Web Application Firewall (WAF) oferă o protecție robustă împotriva atacurilor OWASP Top 10 și a altor amenințări de aplicații web. Imperva oferă două opțiuni de implementare WAF:

  • Cloud WAF-permite traficul legitim și împiedică traficul rău., Protejați‑vă aplicațiile de la margine cu un WAF cloud de clasă enterprise.
  • Gateway WAF-păstrați aplicații și API-uri în interiorul rețelei în condiții de siguranță cu Imperva Gateway WAF.în plus față de WAF, Imperva oferă protecție pe mai multe straturi pentru a vă asigura că site-urile web și aplicațiile sunt disponibile, ușor accesibile și sigure. Soluția de securitate a aplicației Imperva include:
    • protecție DDoS-mențineți timpul de funcționare în toate situațiile. Împiedicați orice tip de atac DDoS, de orice dimensiune, să împiedice accesul la site-ul dvs. web și la infrastructura de rețea.,
    • CDN-îmbunătățiți performanța site-ului și reduceți costurile de lățime de bandă cu un CDN conceput pentru dezvoltatori. Cache resurse statice la margine în timp ce accelerarea API-uri și site-uri dinamice.
    • Bot management-analizează traficul bot pentru a identifica anomalii, identifică comportamentul bot rău și validează-l prin mecanisme de provocare care nu au impact asupra traficului utilizatorilor.
    • API security-protejează API-urile asigurându-se că numai traficul dorit poate accesa punctul final API, precum și detectarea și blocarea exploatărilor vulnerabilităților.,
    • protecția preluării contului—utilizează un proces de detectare bazat pe intenție pentru a identifica și apăra împotriva încercărilor de a prelua conturile utilizatorilor în scopuri rău intenționate.
    • RASP-păstrați aplicațiile în siguranță din interior împotriva atacurilor cunoscute și zero-day. Protecție rapidă și precisă, fără semnătură sau Mod de învățare.
    • Attack analytics—atenuați și răspundeți la amenințările reale de securitate eficient și precis cu informații acționabile în toate straturile dvs. de apărare.

Articles

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *